Domaines dans Azure Front Door
Un domaine représente un nom de domaine personnalisé qu’Azure Front Door utilise pour recevoir le trafic de votre application. Azure Front Door prend en charge l’ajout de trois types de noms de domaine :
- Les sous-domaines sont le type de nom de domaine personnalisé le plus courant.
myapplication.contoso.comest un exemple de sous-domaine. - Les domaines apex ne contiennent pas de sous-domaine.
contoso.comest un exemple de domaine apex. Pour plus d’informations sur l’utilisation des domaines apex avec Azure Front Door, consultez Domaines Apex. - Les domaines génériques permettent la réception du trafic pour n’importe quel sous-domaine.
*.contoso.comest un exemple de domaine générique. Pour plus d’informations sur l’utilisation des domaines génériques avec Azure Front Door, consultez Domaines génériques.
Les domaines sont ajoutés à votre profil Azure Front Door. Vous pouvez utiliser un domaine dans plusieurs routes au sein d’un point de terminaison si vous utilisez des chemins différents dans chaque route.
Pour savoir comment ajouter un domaine personnalisé à votre profil Azure Front Door, consultez Configurer un domaine personnalisé sur Azure Front Door en utilisant le portail Azure.
Configuration DNS
Quand vous ajoutez un domaine à votre profil Azure Front Door, vous configurez deux enregistrements dans votre serveur DNS :
- Un enregistrement TXT DNS, qui est nécessaire pour valider la propriété de votre nom de domaine. Pour plus d’informations sur les enregistrements TXT DNS, consultez Validation de domaine.
- Un enregistrement CNAME DNS, qui contrôle le flux du trafic Internet vers Azure Front Door.
Conseil
Vous pouvez ajouter un nom de domaine à votre profil Azure Front Door avant d’apporter des modifications au DNS. Cette approche peut être pratique si vous devez définir votre configuration Azure Front Door en même temps ou si vous avez une équipe distincte qui modifie vos enregistrements DNS.
Vous pouvez aussi ajouter votre enregistrement TXT DNS pour valider la propriété de votre domaine avant d’ajouter l’enregistrement CNAME pour contrôler le flux de trafic. Cette approche peut être pratique pour éviter les temps d’arrêt liés à la migration si vous avez déjà une application en production.
Validation de domaine
Tous les domaines ajoutés à Azure Front Door doivent être validés. La validation vous protège contre les erreurs de configuration accidentelles et permet également de protéger d’autres personnes contre l’usurpation de domaine. Dans certains cas, les domaines peuvent être prévalidés par un autre service Azure. Sinon, vous devez suivre le processus de validation de domaine d’Azure Front Door pour prouver votre propriété du nom de domaine.
Les domaines prévalidés Azure sont des domaines validés par un autre service Azure pris en charge. Si vous intégrez un domaine à un autre service Azure avant de le valider et que vous configurez Azure Front Door ultérieurement, vous pouvez utiliser un domaine prévalidé. Il n’est pas nécessaire de valider le domaine via Azure Front Door quand vous utilisez ce type de domaine.
Notes
Actuellement, Azure Front Door accepte seulement les domaines prévalidés qui ont été configurés avec Azure Static Web Apps.
Les domaines non validés par Azure sont des domaines qui ne sont pas validés par un service Azure pris en charge. Ce type de domaine peut être hébergé avec n’importe quel service DNS, y compris Azure DNS, et nécessite que la propriété du domaine soit validée par Azure Front Door.
Validation de l’enregistrement TXT
Pour valider un domaine, vous devez créer un enregistrement TXT de DNS. Le nom de l’enregistrement TXT doit avoir le format _dnsauth.{subdomain}. Azure Front Door fournit une valeur unique pour votre enregistrement TXT lorsque vous commencez à ajouter le domaine à Azure Front Door.
Par exemple, supposons que vous voulez utiliser le domaine personnalisé myapplication.contoso.com avec Azure Front Door. Tout d’abord, vous devez ajouter le domaine à votre profil Azure Front Door et noter la valeur de l’enregistrement TXT que vous devez utiliser. Ensuite, vous devez configurer un enregistrement de DNS avec les propriétés suivantes :
| Propriété | Valeur |
|---|---|
| Nom de l'enregistrement | _dnsauth.myapplication |
| Valeur d’enregistrement | utiliser la valeur fournie par Azure Front Door |
| Durée de vie (TTL) | 1 heure |
Une fois que votre domaine a été validé, vous pouvez supprimer sans problème l’enregistrement TXT de votre serveur DNS.
Pour plus d’informations sur l’ajout d’un enregistrement TXT DNS pour un domaine personnalisé, consultez Configurer un domaine personnalisé sur Azure Front Door en utilisant le portail Azure.
État de validation d’un domaine
Le tableau suivant liste les états de validation qu’un domaine peut montrer.
| État de validation du domaine | Description et actions |
|---|---|
| Soumission | Le domaine personnalisé est en cours de création. Attendez que la ressource de domaine soit prête. |
| Pending | La valeur de l’enregistrement TXT DNS a été générée et Azure Front Door est prêt pour vous permettre d’ajouter l’enregistrement TXT DNS. Ajoutez l’enregistrement TXT DNS à votre fournisseur DNS et patientez jusqu’à ce que la validation soit effectuée. Si l’état reste En attente même après la mise à jour de l’enregistrement TXT avec le fournisseur DNS, sélectionnez Régénérer pour actualiser l’enregistrement TXT, puis rajoutez l’enregistrement TXT à votre fournisseur DNS. |
| Revalidation en attente | Le certificat managé va expirer dans moins de 45 jours. Si vous disposez d’un enregistrement CNAME qui pointe déjà vers le point de terminaison Azure Front Door, aucune action n’est nécessaire pour le renouvellement du certificat. Si le domaine personnalisé pointe vers un autre enregistrement CNAME, sélectionnez l’état Revalidation en attente, puis sélectionnez Regénérer dans la page Valider le domaine personnalisé. Enfin, sélectionnez Ajouter si vous utilisez Azure DNS ou ajoutez manuellement l’enregistrement TXT avec la gestion DNS de votre propre fournisseur DNS. |
| Actualisation du jeton de validation | Un domaine passe brièvement à l’état Actualisation du jeton de validation une fois que le bouton Régénérer est sélectionné. Une fois qu’une nouvelle valeur d’enregistrement TXT a été émise, l’état passe à En attente. Aucune action n'est requise. |
| Approved | Le domaine a été validé avec succès et Azure Front Door peut accepter le trafic qui utilise ce domaine. Aucune action n'est requise. |
| Rejeté | Le fournisseur de certificats/l’autorité de certification a rejeté l’émission du certificat managé. Par exemple, le nom de domaine peut ne pas être valide. Sélectionnez le lien Rejeté, puis sélectionnez Régénérer dans la page Valider le domaine personnalisé, comme indiqué dans les captures d’écran sous ce tableau. Sélectionnez ensuite Ajouter pour ajouter l’enregistrement TXT dans le fournisseur DNS. |
| Délai d'expiration | L’enregistrement TXT n’a pas été ajouté à votre fournisseur DNS dans les sept jours ou un enregistrement TXT DNS non valide a été ajouté. Sélectionnez le lien Délai d’expiration, puis Régénérer sur la page Valider le domaine personnalisé. Sélectionnez ensuite Ajouter pour ajouter un nouvel enregistrement TXT au fournisseur DNS. Veillez à utiliser la valeur mise à jour. |
| Erreur interne | Une erreur inconnue s'est produite. Réessayez d’effectuer la validation en sélectionnant le bouton Actualiser ou Regénérer. Si vous rencontrez toujours des problèmes, envoyez une demande de support au support Azure. |
Notes
- La durée de vie par défaut des enregistrements TXT est de 1 heure. Quand vous devez régénérer l’enregistrement TXT pour la re-validation, prêtez attention à la durée de vie de l’enregistrement TXT précédent. Si elle n’expire pas, la validation échoue jusqu’à ce que l’enregistrement TXT précédent expire.
- Si le bouton Régénérer ne fonctionne pas, supprimez et recréez le domaine.
- Si l’état du domaine ne reflète pas comme prévu, cliquez sur le bouton Actualiser .
HTTPS pour les domaines personnalisés
En utilisant le protocole HTTPS sur votre domaine personnalisé, vous garantissez que vos données sensibles sont délivrées de façon sécurisée avec le chiffrement TLS/SSL quand elles sont envoyées sur Internet. Quand un client, comme un navigateur web, est connecté à un site web en utilisant HTTPS, le client valide le certificat de sécurité du site web et vérifie qu’il a été émis par une autorité de certification légitime. Ce processus assure la sécurité et protège également vos applications web contre les attaques.
Azure Front Door prend en charge l’utilisation de HTTPS avec vos propres domaines et décharge vos serveurs d’origine de la gestion des certificats TLS (Transport Layer Security). Quand vous utilisez des domaines personnalisés, vous pouvez utiliser des certificats TLS managés par Azure (recommandé), ou bien acheter et utiliser vos propres certificats TLS.
Pour plus d’informations sur le fonctionnement d’Azure Front Door avec TLS, consultez TLS de bout en bout avec Azure Front Door.
Certificats TLS managés par Azure Front Door
Azure Front Door peut gérer automatiquement les certificats TLS pour les sous-domaines et les domaines apex. Quand vous utilisez des certificats managés, vous n’avez pas besoin de créer des clés ou des demandes de signature de certificat, et vous n’avez pas besoin de charger, stocker ou installer les certificats. En outre, Azure Front Door peut permuter (renouveler) automatiquement les certificats managés sans intervention humaine. Ce processus évite les temps d’arrêt provoqués par un échec du renouvellement à temps de vos certificats TLS.
Le processus de génération, d’émission et d’installation d’un certificat TLS managé peut prendre de plusieurs minutes à une heure, et peut parfois prendre plus de temps.
Remarque
Les certificats managés Azure Front Door (Standard et Premium) sont automatiquement permutés si l’enregistrement CNAME de domaine pointe directement vers un point de terminaison Front Door ou pointe indirectement vers un point de terminaison Traffic Manager. Sinon, vous devez revalider la propriété de domaine pour permuter les certificats.
Types de domaines
Le tableau suivant récapitule les fonctionnalités disponibles avec les certificats TLS managés quand vous utilisez différents types de domaines :
| Considération | Sous-domaine | Domaine apex | Domaine générique |
|---|---|---|---|
| Certificats TLS managés disponibles | Oui | Oui | Non |
| Les certificats TLS managés sont permutés automatiquement | Oui | Voir ci-dessous | Non |
Quand vous utilisez des certificats TLS gérés par Azure Front Door avec des domaines apex, la permutation automatisée des certificats peut vous obliger à revalider la propriété de votre domaine. Pour plus d’informations, consultez Domaines apex dans Azure Front Door.
Émission de certificats managés
Les certificats Azure Front Door sont émis par notre autorité de certification partenaire DigiCert. Pour certains domaines, vous devez autoriser explicitement DigiCert comme émetteur de certificat en créant un enregistrement de domaine CAA avec la valeur : 0 issue digicert.com.
Azure gérant entièrement les certificats en votre nom, tout aspect du certificat managé, y compris l’émetteur racine, peut être modifié à tout moment. Ces modifications sont en dehors de votre contrôle. Veillez à éviter les dépendances matérielles sur n’importe quel aspect d’un certificat managé, comme la vérification de l’empreinte du certificat ou l’épinglage au certificat managé ou à toute partie de la hiérarchie des certificats. Si vous devez épingler des certificats, utilisez un certificat TLS managé par le client, comme expliqué dans la section suivante.
Certificats TLS gérés par le client
Parfois, vous devrez fournir vos propres certificats TLS. Voici des scénarios courants où vous allez fournir vos propres certificats :
- Votre organisation vous impose d’utiliser des certificats émis par une autorité de certification spécifique.
- Vous voulez qu’Azure Key Vault émette votre certificat en utilisant une autorité de certification partenaire.
- Vous devez utiliser un certificat TLS reconnu par une application cliente.
- Vous devez utiliser le même certificat TLS sur plusieurs systèmes.
- Vous utilisez des domaines génériques. Azure Front Door ne fournit pas de certificats managés pour les domaines génériques.
Remarque
- Depuis septembre 2023, Azure Front Door prend en charge Apportez votre propre certificat (BYOC) pour la validation de la propriété du domaine. Front Door approuve la propriété du domaine si le nom de certificat (CN) ou l’autre nom de l’objet (SAN) du certificat correspond au domaine personnalisé. Si vous sélectionnez un certificat managé Azure, la validation du domaine utilise l’enregistrement TXT DNS.
- Pour les domaines personnalisés créés avant la validation basée sur BYOC et dont l’état de validation n’est pas Approuvé, vous devez déclencher l’approbation automatique de la validation de la propriété du domaine en sélectionnant État de validation, puis en cliquant sur le bouton Revalider dans le portail. Si vous utilisez l’outil en ligne de commande, vous pouvez déclencher la validation du domaine en envoyant une requête PATCH vide à l’API de domaine.
Configuration requise des certificats
Pour utiliser votre certificat avec Azure Front Door, il doit répondre aux exigences suivantes :
- Chaîne de certificat complète : quand vous créez votre certificat TLS/SSL, vous devez créer une chaîne de certificats complète avec une autorité de certification (AC) autorisée figurant dans la liste des autorités de certification de confiance Microsoft. Si vous utilisez une autorité de certification non autorisée, votre requête est rejetée. L’autorité de certification racine doit faire partie de la liste des autorités de certification de confiance Microsoft. Lorsqu’un certificat sans chaîne complète est présenté, le bon fonctionnement des requêtes l’impliquant n’est pas garanti.
- Nom commun : le nom commun (CN) du certificat doit correspondre au domaine configuré dans Azure Front Door.
- Algorithme : Azure Front DoorFront Door ne prend pas en charge les certificats avec des algorithmes de chiffrement à courbe elliptique (EC).
- Type de fichier (contenu) : votre certificat doit être chargé dans votre coffre de clés à partir d’un fichier PFX, qui utilise le type de contenu
application/x-pkcs12.
Importer un certificat dans Azure Key Vault
Les certificats TLS personnalisés doivent être importés dans Azure Key Vault avant de pouvoir être utilisés avec Azure Front Door. Pour savoir comment importer un certificat dans un coffre de clés, consultez Tutoriel : Importer un certificat dans Azure Key Vault.
Le coffre de clés doit se trouver dans le même abonnement Azure que votre profil Azure Front Door.
Avertissement
Azure Front Door prend actuellement en charge seulement les coffres de clés qui se trouvent dans le même abonnement que le profil Front Door. Choisir un coffre de clés sous un autre abonnement que votre celui de votre profil Azure Front Door va entraîner un échec.
Les certificats doivent être chargés en tant qu’objet certificat et non pas en tant que secret.
Accorder l’accès à Azure Front Door
Azure Front Door doit accéder à votre coffre de clés pour lire votre certificat. Vous devez configurer à la fois le pare-feu réseau du coffre de clés et le contrôle d’accès du coffre.
Si votre coffre de clés dispose de restrictions d’accès réseau activées, vous devez configurer votre coffre de clés pour permettre aux services Microsoft approuvés de contourner le pare-feu.
Il existe deux façons de configurer le contrôle d’accès sur votre coffre de clés :
- Azure Front Door peut utiliser une identité managée pour accéder à votre coffre de clés. Vous pouvez utiliser cette approche quand votre coffre de clés utilise l’authentification Microsoft Entra. Pour plus d’informations, consultez Utiliser des identités managées avec Azure Front Door Standard/Premium.
- Vous pouvez aussi accorder l’accès à votre coffre de clés au principal de service d’Azure Front Door. Vous pouvez utiliser cette approche quand vous utilisez des stratégies d’accès au coffre.
Ajouter votre certificat personnalisé à Azure Front Door
Une fois que vous avez importé votre certificat dans un coffre de clés, créez une ressource de secret Azure Front Door, qui est une référence au certificat que vous avez ajouté à votre coffre de clés.
Ensuite, configurez votre domaine afin qu’il utilise le secret Azure Front Door pour son certificat TLS.
Pour une procédure pas à pas détaillée, consultez Configurer HTTPS sur un domaine personnalisé Azure Front Door en utilisant le portail Azure.
Passer d’un type de certificat à un autre
Vous pouvez modifier un domaine pour le faire passer de l’utilisation d’un certificat managé par Azure Front Door à un certificat géré par le client et inversement.
- Le déploiement du nouveau certificat peut prendre jusqu’à une heure quand vous passez d’un type de certificat à un autre.
- Si l’état de votre domaine est Approuvé, le basculement du type de certificat entre un certificat géré par l’utilisateur et un certificat managé ne provoque aucun temps d’arrêt.
- Quand vous passez à un certificat managé, Azure Front Door continue à utiliser le certificat précédent jusqu’à ce que la propriété du domaine soit revalidée et que l’état du domaine devienne Approuvé.
- Si vous passez de BYOC à un certificat managé, la revalidation du domaine est requise. Si vous passez d’un certificat managé à BYOC, vous n’êtes pas tenu de valider de nouveau le domaine.
Renouvellement du certificat
Renouveler des certificats managés par Azure Front Door
Pour la plupart des domaines personnalisés, Azure Front Door renouvelle (permute) automatiquement les certificats managés quand ils sont proches de leur date d’expiration, et vous n’avez rien à faire.
Cependant, Azure Front Door ne permute pas automatiquement les certificats dans les scénarios suivants :
- L’enregistrement CNAME du domaine personnalisé pointe vers un enregistrement DNS autre que le domaine de votre point de terminaison Azure Front Door.
- Le domaine personnalisé pointe vers le point de terminaison Azure Front Door via une chaîne. Par exemple, si votre enregistrement DNS pointe vers Azure Traffic Manager, qui à son tour est résolu en Azure Front Door, la chaîne CNAME est
contoso.comCNAME danscontoso.trafficmanager.netCNAME danscontoso.z01.azurefd.net. Azure Front Door ne peut pas vérifier l’ensemble de la chaîne. - Le domaine personnalisé utilise un enregistrement A. Nous vous recommandons de toujours utiliser un enregistrement CNAME pour pointer vers Azure Front Door.
- Le domaine personnalisé est un domaine apex et il utilise la mise à plat de CNAME.
Si l’un des scénarios ci-dessus s’applique à votre domaine personnalisé, 45 jours avant l’expiration du certificat managé, l’état de validation du domaine devient Revalidation en attente. L’état Revalidation en attente indique que vous devez créer un enregistrement TXT DNS pour revalider la propriété de votre domaine.
Notes
Les enregistrements TXT DNS expirent au bout de sept jours. Si vous avez précédemment ajouté un enregistrement TXT de validation de domaine à votre serveur DNS, vous devez le remplacer par un nouvel enregistrement TXT. Veillez à utiliser la nouvelle valeur, sinon le processus de validation du domaine échouera.
Si votre domaine ne peut pas être validé, l’état de validation du domaine devient Rejeté. Cet état indique que l’autorité de certification a rejeté la demande de réémission d’un certificat managé.
Pour plus d’informations sur les états de validation des domaines, consultez États de validation des domaines.
Renouveler des certificats managés par Azure pour les domaines prévalidés par d’autres services Azure
Les certificats managés par Azure sont permutés automatiquement par le service Azure qui valide le domaine.
Renouveler des certificats TLS gérés par le client
Quand vous mettez à jour le certificat dans votre coffre de clés, Azure Front Door peut détecter et utiliser automatiquement le certificat mis à jour. Pour que cette fonctionnalité fonctionne, définissez la version du secret sur « Dernière » quand vous configurez votre certificat dans Azure Front Door.
Si vous sélectionnez une version spécifique de votre certificat, vous devez resélectionner la nouvelle version manuellement quand vous mettez à jour votre certificat.
Le déploiement automatique de la nouvelle version du certificat/secret peut prendre jusqu’à 72 heures.
Si vous voulez changer la version du secret de « La plus récente » à une version spécifique ou vice versa, ajoutez un nouveau certificat.
Stratégies de sécurité
Vous pouvez utiliser le pare-feu d’applications web (WAF) d’Azure Front Door pour analyser les demandes adressées à votre application à la recherche de menaces et pour appliquer d’autres exigences de sécurité.
Pour utiliser le pare-feu d’applications web avec un domaine personnalisé, utilisez une ressource de stratégie de sécurité Azure Front Door. Une stratégie de sécurité associe un domaine à une stratégie WAF. Vous pouvez en option créer plusieurs stratégies de sécurité afin de pouvoir utiliser différentes stratégies WAF avec les différents domaines.
Étapes suivantes
- Pour savoir comment ajouter un domaine personnalisé à votre profil Azure Front Door, consultez Configurer un domaine personnalisé sur Azure Front Door en utilisant le portail Azure.
- En savoir plus sur l’utilisation de TLS de bout en bout avec Azure Front Door.